仮想化基盤のあれこれ

とあるIT企業でプリセールスを担当してます。主にVMware社製品を提案しています。

AVD回りの新しいAD小咄

こんにちは、Yos235です。

 

8月からとある案件支援に入っており、プリからポストになってた関係もあって

ちょっとだけ忙しい毎日を過ごしてました。気が付けば9月が終わってた…

 

Horizonじゃないですが、AVD回りが最近賑やかなので。

docs.microsoft.com

 

AzureADとActiveDirectoryドメインコントローラとAzureADドメインサービスと、

いろいろとわかりにくいネーミングでIT技術者泣かせの総称「AD」ですが、

いよいよAVD環境もAzureADだけで動かせるようになったようです。

 

とはいえ、制限事項はけっこうあるでしょと思いつつ確認。

・Azure AD-joined VMs only supports local user profiles at this time.
 ローカルプロファイルだけ。
・Azure AD-joined VMs can't access Azure Files file shares for FSLogix or MSIX app attach. You'll need Kerberos authentication to access either of these features.
 FSLogixしようとしても、Kerberos必要なのでAzureFilesが使えない。

 

この辺りは、企業のWindows端末の置き換えとして使う時に

(地味な割に)必須な感じでやりたくなる機能なのですが

手軽にリモートワーク環境が使えればいいんよ、と割り切って

使ってくれる方≒今回AD管理したくないよ派には気にならないでしょう。

 

アプリ動かしてナンボ、のデスクトップサービスってのは、企業が

Windowsアプリをリモートから使うけど、アプリを動かす環境は

WindowsOSそのものを使いたい、って我儘要件だったりします。

 

そう考えると結局社内のActiveDirectoryドメインに参加したマシンが

欲しいってことになったりする=今まで通りでいいんじゃね?ってなる。

 

で、結局このAVDに入って何するんだ?O365を使う時に使う?

いやそれなら手元の端末でO365使えば良くない?

手元で動かすとセキュリティ的にデータ分散しちゃうから?

BYOD端末+会社支給AVD端末って組み合わせか?

・・・とかとか。

 

 

となるともう一つ気になるのは、端末側の管理の事。

To enable access from Windows devices not joined to Azure AD, add targetisaadjoined:i:1 as a custom RDP property to the host pool. These connections are restricted to entering user name and password credentials when signing in to the session host.

 

AzureADに参加してない端末からの接続を許可できる。

ユーザ名とパスワードのみになる、という点。

認証を何回も聞かれると、ながーいID入力は苦痛しかないので

WindowsHelloとか使いたくなりますよねぇ。。。

スマートデバイスが良いと思うのは、認証がスマートだからですよね。

 

詳しい話は、このあたりの読み込みが必要そうなので、

未来の私にバトンタッチw

docs.microsoft.com

 

ということで、今日はこの辺で。